Maanantai 24.9.2018

Carunan asiakas havaitsi tietoturvamokan sähköpostissa – kampanjasivu suljettiin heti

Jaa artikkeli:
Luotu: 
27.5.2018 11:05
Päivitetty: 
27.5.2018 12:34
  • Kuva: Petteri Paalasmaa / Uusi Suomi
    Kuva
    Caruna sulki kampanjasivunsa bloggaajan kerrottua tietoturvariskistä.
|

Sähköverkkoyhtiö Carunan asiakas, espoolainen juristi Jussi Salokangas löysi perjantaina saamastaan asiakassähköpostista tietoturvapuutteen, jota piti kardinaalivirheenä. Carunan mukaan kyseessä oli vain ”lievä haavoittuvuus”, Satakunnan Kansa kertoo, mutta yhtiön kampanjasivu suljettiin varotoimenpiteenä välittömästi.

Jussi Salokangas kertoi havainnostaan Uuden Suomen Puheenvuoro-palvelun blogissaan.

– Sain GDPR:n [EU:n tietoturva-asetus] syntymäpäivänä markkinointiviestin Carunalta. Klikkasin viestin auki, ja se ohjasi linkkiin. Linkissä oli esitäytettynä nimeni, puhelinnumeroni ja sähköpostinumeroni. Luovutin linkin kaverilleni, joka sai samat tiedot auki, Salokangas raportoi.

Hän pitää tällaista viestiä varomattomana.

– Ei kovin kauaa kestä, kun joku käy kaikki sivun yksilöimän numerot 0-9999999 läpi automaattisesti jonkun loopin avulla, ja käytännössä lataa Carunan asiakastiedot tai osan asiakastiedoista yhteen tietokantaan. Toki voi olla, että linkkiin pääsee vain, jos linkkiä on klikannut, mutta kuitenkin, jos yhteystiedot jättää päivittämättä, ne voivat olla ulkopuolisen ladattavissa, hän varoittaa.

Riippumaton tietoturva-asiantuntija kertoo Satakunnan Kansalle, että tällaisessa tapauksessa on riski, että tiedot saattavat päättyä linkin kautta sivullisten käsiin. Myös Carunan tietohallintojohtaja Heikki Linnanen myöntää, että bottia käyttämällä olisi linkin kautta voinut saada numerosarjojen takaa Carunan asiakkaiden nimiä, sähköpostiosoitteita ja puhelinnumeroita. Käsipelillä se ei kuitenkaan hänen mukaansa onnistuisi.

– Käytän termiä lievä haavoittuvuus. Kriittisimmät asiakastiedot eivät missään vaiheessa ole olleet vaarassa. Ei puhuta sosiaaliturvatunnuksista, asiakastunnuksista tai osoitteista, Linnanen vakuuttaa Satakunnan Kansalle.

Lähetettjen 57 000 sähköpostin takana on taulukko, jonne on kirjattu tiedossa olevat sähköpostiosoitteet ja kännykkänumerot. Linnasen mukaan näitä tietoja oli tarkoitus päivittää.

Salokankaan löydettyä tietoturva-aukon ja Iltalehden kysyttyä asiasta Carunan väliaikainen sivusto poistui käytöstä.

– Oppi tästä on se, että kun on väliaikainen kumppanin toteuttama kampanjasivu, niiden testausta pitää parantaa. Sen takia se palvelu on pois käytöstä. Kunhan robotin sieltä blokkaa, se on turvallinen, Linnanen sanoo.

Carunan viestintäjohtaja Anne Pirilä kommentoi asiaa myös Salokankaan blogin kommenteissa. Pirilän mukaan yhtiö selvitti asiaa heti saatuaan blogin tietoonsa.

– Viestit on lähetetty salatun yhteyden kautta ja ne on toimitettu asianmukaisiin sähköpostiosoitteisiin. Sähköpostissa oli linkki/kehotus käydä tarkistamassa omat tiedot linkin kautta. Linkki on https/ssl- yhteydellä salattu eli yhtä turvallinen kuin verkkopankki. Tietoihin ei ole avointa pääsyä eikä asiakastietoa ole liikkunut ilman salausta, hän selvensi.

– Jotta joku saa linkin käsiinsä, hänen pitää päästä viestin vastaanottajan sähköposteihin käsiksi tai vastaanottajan pitää välittää viesti eteenpäin. Henkilökohtainen linkin loppuosa on täysin randomisti. Koska asiakkaidemmme tietoturva on meille erittäin tärkeä asia, pidämme kampanjasivuston varotoimenpiteenä suljettuna toistaiseksi, hän jatkoi.

Sivusto on kuitenkin ehditty jo avaamaan uudelleen viikonloppuna, Caruna tiedottaa.

Keskustelua aiheesta Uuden Suomen blogeissa: 
Yritykset: 
Jaa artikkeli: